×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 全面数据保护体系的构建—简评《数据安全法(草案)》

全面数据保护体系的构建—简评《数据安全法(草案)》

作者:吴卫明 2020-08-042650

近期,全国人大常委会公布了《中华人民共和国数据安全法(草案)》(以下简称“《草案》”),并向社会公开征集意见。作为规范数据数据活动的基本法,《草案》似乎是希望构建一个数据安全的基础框架。


笔者认为,《草案》在以下几个方面值得予以关注。



一、对于“数据”内涵的完整界定



按照通常的理解,数据是电子化的信息,但对于什么是“数据”,理论与实务界界一直没有准确的定义。本次《草案》对于“数据”采取了全面的界定。《草案》第三条规定“本法所称数据,是指任何以电子或者非电子形式对信息的记录。”即,除了《网络安全法》所界定的“网络数据”外,还将“非电子形式对信息的记录”纳入了数据范畴。按照这一界定,纸质的档案信息以及其他书面形式对信息所作的记录,也属于数据。


显然,对于《草案》所界定的“数据”内涵与此前的法律法规及有关政策的界定并不完全等同。


如,国务院2015年8月31日发布的《促进大数据发展行动纲要》(简称“《纲要》”)。《纲要》提到“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源。”从《纲要》的提法看,数据与信息技术或互联网、物联网的关联性更强,数据似乎与“电子数据”具有类似的含义。


2017年生效的《网络安全法》,并未采取“数据”的表述,而是采用了“网络数据”的定义,按照该法第第七十六条的界定,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。


但与此同时,《网络安全法》对于“个人信息”则界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”按照这一表述,个人信息可以是电子的,也可以是非电子的。显然,个人信息定义与“网络数据”也并非同一内涵。


而《民法总则》、《民法典》在规定“数据”的时候,则采用了如下表述:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。上述法律表述中将“数据”与“网络虚拟财产”并列,似乎表明数据的内涵更偏向于电子化的信息。


界定并不清晰,与信息时代整体信息保护及整体信息安全的要求不相适应。


从《网络安全法》的规定看,如果仅仅将“数据”理解为“电子数据”或“网络数据”,则数据与信息的关系将难以平衡,信息的外延将会大于数据。将电子化记录与其他方式记录的信息,统一纳入数据范畴,符合数字化时代的信息安全要求。


当然,《草案》对于“数据”的界定也存在一定的不足之处,主要体现为,电子化的信息与非电子化的信息,在信息安全事故或者信息不当利用情况下的危害程度是不同的,纳入同一保护范畴,在执法、司法裁判标准方面将会存在执法、司法标准不易确当的情况。此外,如果《草案》对于数据的界定获得通过,则需要对其他涉及信息保护的法律法规进行相应的修正,以保持法律的衔接和协调。



二、突出保护与利用并重的原则



该《草案》第十二条规定:“国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”


该条款将数据开发利用与数据安全的关系概括为相互促进、相互保障,数据安全不是简单的依靠保护与封锁,而是通过数据开发利用和产业发展予以促进。数据安全不是对数据利用与开发进行限制,而是为数据有序、良性利用提供保障。


《草案》第十三条规定了国家实施大数据战略。并规定“省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。”


按照这一规定,省级以上人民政府制定数字经济发展规划不再是一个简单的地方规划问题,而是该级人民政府的法定义务。


此外,《草案》还规定了数据交易问题。该法第十七条规定:“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”虽然这一条的规定非常原则,但数据交易管理制度的提出,则为进一步的立法预留了空间。笔者认为,《草案》第十七条的规定作为数据流转、共享的基础制度,如果能够通过,并且能够出台科学、合理,且均衡社会利益的细则,对于促进我国大数据发展无疑具有积极的作用和价值。



三、确定了数据安全审查制度



《草案》第二十二条规定了数据安全审查制度,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。


2020年6月1日起实施的《网络安全审查办法》(简称“《审查办法》”),确立了网络安全审查制度,该《审查办法》第二条规定了关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。《审查办法》是对关键信息基础设施运营者采购网络产品和服务设定的安全审查,其中,将产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险作为审查的重要内容。


通过分析《中华人民共和国数据安全法(草案)》和《网络安全审查办法》的内容不难看出,虽然两种审查都属于国家安全审查的范畴,但其审查的对象和内容却并不相同。


《草案》审查的对象包括所有的影响或可能影响国家安全的数据活动,既包括线上的数据活动,也包括线下的数据活动,且对数据活动主体并未做出限制。


而《审查办法》所设查的主体仅为关键信息基础设施运营者,审查活动主要针对产品或服务的采购环节,而审查的内容则除了重要数据被窃取、泄露、毁损的风险外,还包括产品或服务是否具有连续性,以及是否收购政治等因素影响,从而威胁供应链的安全。


数据安全审查制度将数据活动对国家安全的影响作为其规制的价值目标,这也意味着,企业或其他社会主体,在从事数据活动时,应首先进行国家全判断。当然,《草案》对于审查的程序并未做进一步规定,有待相关细则加以界定。



四、确立了重要数据保护与评估制度



1、关于重要数据的概念


重要数据的概念、内涵、外延,一直是实践中较难掌握的问题。《草案》第十九条规定了数据分级分类保护。并规定:“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”并在第二十五条对重要数据的处理者应当设立数据安全负责人和管理机构做出了规定。不过,遗憾的是,《草案》对于重要数据并未做出界定,哪些数据构成重要数据?《草案》并未解决。对此,可以借鉴其他法律及规则的定义加以识别。


《网络安全法》首次提出了“重要数据”概念,并对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。但这一条款并没有界定什么是重要数据。


国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条,对重要数据界定为:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”


2019年5月28日,国家互联网信息办公室公布了《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”


虽然《草案》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》当前均未生效,但考虑到数据分类保护的法定要求,建议《数据安全法》对重要数据的定义进行明确界定,以便在数据活动中更具有可操作性。


2、确立了数据安全评估制度


事实上,在《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》中,均规定了数据出境的安全评估制度,但上述制度仅限于数据或重要数据出境过程中的评估。


如《网络安全法》第三十七条则规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。


《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条则规定了多种需要评估的数据出境行为,其中第(五)条款提到了“关键信息基础设施运营者向境外提供个人信息和重要数据。”这一规定《网络安全法》基本一致。


在《数据安全管理办法(征求意见稿)》中,则在第二十八条规定了:“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。”


应该说,《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》对于需要出境安全评估的数据界定并不一致。前两个规定针对的是关键信息基础设施运营者需要出境的重要数据,而后一个规定则针对网络运营者的重要数据出境。但是这几部法律及规则的征求意见稿,评估制度针对的均为数据出境。


而《草案》所规定的数据安全评估,范围则更广,针对重要数据处理者的全部数据活动。《草案》第二十八条规定:“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。”


综上,对于重要数据,《草案》的主要突破在于设置了重要数据安全评估制度,但对于重要数据的定义并未明确界定,仍需在进一步立法中予以明确。



五、数据歧视的对等措施



《草案》还有一个值得关注的新制度,即:针对数据歧视的对等措施。《草案》第二十四条规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。


对等原则是国际投资与贸易的基本原则之一,对此,我国《外商投资法》已经做了明确的规定,任何国家或者地区在投资方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应的措施。


《草案》的规定是投资、贸易对等原则在数据活动领域的特别体现,也在很大程度上反映了当前主要大国之间围绕网络安全与数据安全进行激烈博弈的特点。近期,印度针对多款中国企业开发的APP采取了封禁措施;与此同时,美国政府也在考虑封禁中资控股的短视频APP-TikTok。虽然当前相关方并未披露原因,但媒体猜测,最终的借口可能会包含隐私保护和数据安全。


《草案》对于与数据和数据开发利用技术等有关的投资、贸易方面的歧视性政策以对等原则进行反制,是维护中国数据安全及中国企业开展正常数据活动的必要措施。


此外,《草案》还规定了数据交易中介服务机构的责任、在线数据处理服务经营者的许可或备案、境外执法机构调取中国境内数据的报告制度等。限于篇幅,本文不做展开。


总体而言,《数据安全法(草案)》意在构建一个包括电子数据与非电子数据在内的全面的数据安全保护体系,其内容覆盖较为全面。但同时,也存在一定的缺失和需要进一步完善的地方。